本次分析从华为应用中心(app-store)下载的某地铁app
分析工具使用了源伞科技Pinpoint
扫描结果
共计找到122个致命问题, 148个严重问题 375个中等问题以及 11537个建议改进问题。其中包括444个可能引起崩溃或异常的错误,277个安全隐私类问题以及897个执行效率低下问题。
现举例如下:
安全隐私高危漏洞:
| 漏洞 | 路径注入–该漏洞可以使得恶意攻击者覆盖任意文件 |
|---|---|
| 位置 | yedemo/zw.java,yedemo.zw.b函数 (应该是名称混淆后的结果) |
漏洞触发大概逻辑如下:
void b(String var1) throws IOException {
…
// 1这里打开了一个压缩文件
ZipFile var4 = new ZipFile(var1);
// 2 这里读取压缩文件的内容
Enumeration var5 = var4.entries();
…
while(true) {
ZipEntry var15;
boolean var16;
// 3 do-while循环找到一个不是文件夹的普通文件,并存储到var15里
do {
boolean var11 = var5.hasMoreElements();
if (!var11) {
var4.close();
var3.
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
